deleteコマンドを使用して検索結果から任意のイベントを削除する(非表示にする)

公開日
2018-06-18
最終更新日
2023-12-05
バージョン
Splunk Enterprise 9.0.4
概要
deleteコマンドを使用して検索結果から任意のイベントを削除する(非表示にする)方法
参考情報
内容

deleteコマンドを使って任意のイベントを検索結果から削除する(非表示にする)ことが可能です。特定のユーザーに対しcan_deleteのロールを付与することで、そのユーザーはdeleteコマンドを実行することができるようになります。

[手順]

  • 設定>アクセス制御>ユーザーより、任意のユーザーを選択します。
  • 手順1. で選択したユーザーに対し、「利用できるロール」からcan_deleteを選択し、保存します。
  • 手順1. で選択したユーザーでSplunk Webにログインし、検索画面を表示します。
  • 非表示にしたい検索結果を得られるような検索文を実行します。 表示された結果を非表示にしても問題ないか確認します。
    ※検索条件にマッチしたイベントが、以後検索結果に表示されないようになります。
    (例)sourcetype="syslog" abcdef
  • 手順4.の検索文にdeleteコマンドを追加し、検索を実行します。(例)sourcetype="syslog" abcdef | delete

[注意事項]

  • 上記の例は、 sourcetype=“syslog”の中でabcdefという文字列を持つイベントを検索結果から削除する(非表示にする)例となります。
  • deleteコマンドを使用する方法は、該当するイベントに対して削除フラグを立てるものです。しかしながら、削除フラグをもったイベントはいかなる権限を以ってしても検索できません。
  • deleteコマンドによって削除されたイベントは、データとして削除されていないためディスク容量を空けるために使用することは推奨されていません。
  • deleteコマンドによって削除されたイベントを検索対象に戻すことはできません。検索対象に戻すためには、再度データを取り込む必要があります。
  • 削除作業するユーザーに対して、イベントを削除するロール「can_delete」を付与する必要があります。
  • deleteコマンドを実行するには「delete_by_keyword」の権限に加えて、deleteコマンドが実行可能なインデックスを指定する権限「deleteIndexesAllowed」が必要になります。
  • ロールの割り当てにcan_deleteを選択せずに「delete_by_keyword」の権限を追加しても、deleteコマンド実行時に下記のメッセージが検索画面に表示され、イベントの削除が行われません。

You do not have the capability to delete from index=<インデックス名>

上記のメッセージが検索画面に表示されている場合、上記【手順】1.2.のようにロールの割り当てに「can_delete」を選択することで、「deleteIndexesAllowed」を設定しなくても、deleteコマンドが実行可能となります。

※「deleteIndexesAllowed」の権限を設定する場合、設定ファイル「authorize.conf」を直接編集し、Splunkサービスの再起動が必要となります。

deleteコマンドやcan_deleteのロールについては参考情報をご覧ください。

以上